同网关和非同网关的IP域名劫持方法

作者：鸿雁

QQ:33666466

小菜求基友。

这个文章主要就是说同网关和非同网关的IP域名劫持。

需要工具

御剑1.5

MAC地址扫描

MAC地址修改

NetFuke_1.07

今天就拿国内几个正规的网站来做吧，本来准备拿某黑客论坛做教程，做过一次以后站长把DNS关了，所以只有换个站来搞了。

第一、同网关劫持方法。

1、用MAC地址扫描器来扫描一下同网关下的MAC地址。

115.***.246.1—115.***.246.16这几个是同网关下的IP。

2、用御剑扫描C段下同网关的网站。

OK，我们就选择115.***.246.2这个下面的某论坛吧。

3、打开我们的NetFuke_1.07工具来进行设置

4、

打开嗅探配置

将红圈内的全部选择。

打开ARP欺骗设置

单项欺骗和双向欺骗，都差不多。咱们就用单项欺骗吧。

来源IP填写方法，也就是你网关IP和MAC地址

我们来获取网关的IP地址和MAC地址。

这里需要到CMD命令

得到的网关IP是：115.***.246.1

输入arp –a 得到网关MAC地址

好，我们得到了网关IP和网关的MAC地址输入进去。中间人默认不要改动。

目标IP输入，咱们之前扫描的同网关IP的MAC地址。

OK，准备好了，咱们把装逼的话写进去

好了，装逼的话弄完了，咱们开始吧

第二、不同网关劫持方法

OK,我们就选择73这个IP吧。呵呵。不同网关的

1、IIS服务器搭建

OK了，把装逼的话写到index.html里。。

2、IP冲突设置

修改任意一个MAC地址。OK成功了

END.

DNS劫持解决方法

说明我们知道，某些网络运营商为了某些目的，对DNS 进行了某些操作，导致使用ISP 的正常上网设置无法通过域名取得正确的IP 地址。常用的手段有：DNS劫持和DNS污染。DNS劫持和DNS污染在天朝是非常常见的现象。一般情况下输入一个错误或不存在的URL 后，本应该出现404页面，而我们看到的却都是电信、联通等运营商的网址导航页面，正常访问网站时出现电信的小广告，使用了代理却依然无法正常访问某些境外网站，以及最近Google 几乎被彻底封杀、微软OneDrive 打不开，这些都和DNS 有一定关系。 DNS劫持 DNS劫持就是通过劫持了DNS 服务器，通过某些手段取得某域名的解析记录控制权，进而修改此域名的解析结果，导致对该域名的访问由原IP 地址转入到修改后的指定IP，其结果就是对特定的网址不能访问或访问的是假网址，从而实现窃取资料或者破坏原有正常服务的目的。DNS劫持通过篡改DNS 服务器上的数据返回给用户一个错误的查询结果来实现的。 DNS劫持症状：某些地区的用户在成功连接宽带后，首次打开任何页面都指向ISP 提供的“电信互联星空”、“网通黄页广告”等内容页面。还有就是曾经出现过用户访问Google 域名的时候出现了百度的网站。这些都属于DNS劫持。 DNS污染 DNS污染是一种让一般用户由于得到虚假目标主机IP 而不能与其通信的方法，是一种DNS 缓存投毒攻击（DNS cache poisoning）。其工作方式是：由于通常的DNS 查询没有任何认证机制，而且DNS 查询通常基于的UDP 是无连接不可靠的协议，因此DNS 的查询非常容易被篡改，通过对UDP 端口53 上的DNS 查询进行入侵检测，一经发现与关键词相匹配的请求则立即伪装成目标域名的解析服务器（NS，Name Server）给查询者返回虚假结果。 DNS污染症状：目前一些在天朝被禁止访问的网站基本都是通过DNS污染来实现的，例如YouTube、Facebook 等网站。解决方法对于DNS劫持，可以通过手动更换DNS 服务器为公共DNS解决。对于DNS污染，可以说，个人用户很难单单靠设置解决，通常可以使用VPN 或者域名远程解析的方法解决，但这大多需要购买付费的VPN 或SSH 等，也可以通过修改Hosts 的方法，手动设置域名正确的IP 地址。

棋牌游戏运营中的域名劫持

棋牌游戏运营中的域名劫持棋牌游戏运营富裕棋牌认为实在是一项系统而复杂的事情，且不说运营前期运营过程中越来越高的投入门槛，玩家越来越难捉摸的胃口。好不容易辛苦做起来了，照样是不断的倾注心血来维护玩家和平台。对于运营商而言，其中一家事情就挺闹心的，好不容易推广起来的，有了一定的知名度之后，不是被黑客惦记，就是域名可能被别有用心的人劫持。玩家明明搜索的是你家的域名和游戏平台，结果被指引到其他流氓网站上了，由此引发的一系列问题后果不堪设想。还有一种类似于被劫持的情况，就是同样的游戏程序下载过程中，部分用户的下载及安装后是别的游戏或是其他软件产品，这种情况更多发生在一些使用小的宽带网络运营服务商中，通常是因为运营商的网络缓存导致的。域名被劫持会产生哪些严重后果？ 1、域名被解析到其它地址，用户无法正常访问，网站流量受损 2、通过泛解析生成大量子域名，共同指向其它地址（往往是恶意垃圾网站） 3、域名被解析到恶意钓鱼网站，导致用户财产损失 4、当域名被劫持后的内容干扰搜索结果时，为保障用户的使用体验和安全，百度搜索引擎会暂时关闭对域名的收录和展示，待严格审核确认后才会再度放开。何为域名劫持？ DNS 是域名系统(Domain Name Server) 的缩写，该系统用于命名组织到域层次结构中的计算机和网络服务。在Internet上域名与IP 地址之间是一对一（或者一对多）的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。域名解析的基本原理是把域名翻译成IP地址，以便计算机能够进一步通信，传递网址和内容等。域名劫持就是在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则直接返回假的IP地址或者什么也不做使得请求失去响应，其效果就是对特定的网址不能访问或访问的是假网址。域名被劫持了怎么办？如果域名被劫持，通常第一时间要和用户所使用的宽带服务提供商取得联系，进行相关情况的投诉。据我所知，国内一些从事此类非法行为谋取私利的人通常都

流量劫持——登录框的隐患

流量劫持——浮层登录框的隐患传统的登录框在之前的文章流量劫持危害详细讲解了HTTP 的高危性，以至于重要的操作都使用HTTPS 协议，来保障流量在途中的安全。

这是最经典的登录模式。尽管主页面并没有开启HTTPS，但登录时会跳转到一个安全页面来进行，所以整个过程仍是比较安全的——至少在登录页面是安全的。对于这种安全页面的登录模式，黑客硬要下手仍是有办法的。在之前的文章里也列举了几种最常用的方法：拦截HTTPS 向下转型、伪造证书、跳转钓鱼网站。

其中转型HTTPS 的手段最为先进，甚至一些安全意识较强的用户也时有疏忽。然而，用户的意识和知识总是在不断提升的。尤其在如今各种网上交易的时代，安全常识广泛普及，用户在账号登录时会格外留心，就像过马路时那样变得小心翼翼。久而久之，用户的火眼金睛一扫地址栏即可识别破绽。因此，这种传统的登录模式，仍具备一定的安全性，至少能给用户提供识别真假的机会。华丽的登录框不知从何时起，人们开始热衷在网页里模仿传统应用程序的界面。无论控件、窗口还是交互体验，纷纷向着本地程序靠拢，效果越做越绚。然而华丽的背后，其本质仍是一个网页，自然掩盖不了网页的安全缺陷。当网页特效蔓延到一些重要数据的交互——例如账号登录时，风险也随之产生。因为它改变了用户的使用习惯，同时也彻底颠覆了传统的意识。

乍一看，似乎也没什么问题。虽然未使用登录页跳转，但数据仍通过HTTPS 传输，途中还是无法被截获。 HTTP 页面用HTTPS 有意义吗？如果认为这类登录框没什么大问题，显然还没领悟到『流量劫持』的精髓——流量不是单向的，而是有进也有出。能捕获你『出流量』的黑客，大多也有办法控制你的『入流量』。这在流量劫持第一篇里也详细列举了。使用HTTPS 确实能保障通信的安全。但在这个场合里，它只能保障『发送』的数据，对于『接收』的流量，则完全不在其保护范围内。因为整个登录框都当作『虚拟窗口』嵌套在主页面里的，因此其中的一切都在同个页面环境里。而主页面使用的仍是不安全的HTTP 协议，所以注入的XSS 代码能轻而易举的控制登录框。

域名劫持的实施步骤

域名劫持是互联网攻击的一种方式，通过攻击域名解析服务器(DNS)，或伪造域名解析服务器(DNS)的方法，把目标网站域名解析到错误的地址从而实现用户无法访问目标网站的目的。域名劫持就是在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则直接返回假的IP地址或者什么也不做使得请求失去响应，其效果就是对特定的网址不能访问或访问的是假网址。域名劫持一方面可能影响用户的上网体验，用户被引到假冒的网站进而无法正常浏览网页，而用户量较大的网站域名被劫持后恶劣影响会不断扩大;另一方面用户可能被诱骗到冒牌网站进行登录等操作导致泄露隐私数据。由于域名劫持只能在特定的网络范围内进行，所以范围外的域名服务器(DNS)能返回正常IP地址。攻击者正是利用此点在范围内封锁正常DNS的IP地址，使用域名劫持技术，通过冒充原域名以E-MAIL方式修改公司的注册域名记录，或将域名转让到其他组织，通过修改注册信息后在所指定的DNS服务器加进该域名记录，让原域名指向另一IP的服务器，让多数网民无法正确访问，从而使得某些用户直接访问到了恶意用户所指定的域名地址，其实施步骤如下：一、获取劫持域名注册信息：

首先攻击者会访问域名查询站点，通过MAKE CHANGES功能，输入要查询的域名以取得该域名注册信息。二、控制该域名的E-MAIL帐号：此时攻击者会利用社会工程学或暴力破解学进行该E-MAIL密码破解，有能力的攻击者将直接对该E-MAIL进行入侵行为，以获取所需信息。三、修改注册信息：当攻击者破获了E-MAIL后，会利用相关的MAKE CHANGES功能修改该域名的注册信息，包括拥有者信息，DNS服务器信息等。四、使用E-MAIL收发确认函：此时的攻击者会在信件帐号的真正拥有者之前，截获网络公司回馈的网络确认注册信息更改件，并进行回件确认，随后网络公司将再次回馈成功修改信件，此时攻击者成功劫持域名。如果你挑选域名的时候，发现你想要的域名.com和.cn的后缀都已经被他人注册了，但是这个域名你很喜欢怎么办，那只有换其他的后缀或者是花钱找到所有者去购买域名了。

域名劫持的原理和过程

域名解析(DNS)的基本原理是把网络地址(域名，以一个字符串的形式)对应到真实的计算机能够识别的网络地址(IP地址，比如216.239.53.99 这样的形式)，以便计算机能够进一步通信，传递网址和内容等。由于域名劫持往往只能在特定的被劫持的网络范围内进行，所以在此范围外的域名服务器(DNS)能够返回正常的IP地址，高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施——封锁正常DNS的IP。如果知道该域名的真实IP地址，则可以直接用此IP代替域名后进行访问。比如访问谷歌，可以把访问改为http://216.239.53.99/，从而绕开域名劫持。由于域名劫持只能在特定的网络范围内进行，所以范围外的域名服务器(DNS)能返回正常IP地址。攻击者正是利用此点在范围内封锁正常DNS的IP地址，使用域名劫持技术，通过冒充原域名以E-MAIL方式修改公司的注册域名记录，或将域名转让到其他组织，通过修改注册信息后在所指定的DNS服务器加进该域名记录，让原域名指向另一IP的服务器，让多数网民无法正确访问，从而使得某些用户直接访问到了恶意用户所指定的域名地址，其实施步骤如下：一、获取劫持域名注册信息

首先攻击者会访问域名查询站点，通过MAKE CHANGES功能，输入要查询的域名以取得该域名注册信息。二、控制该域名的E-MAIL帐号此时攻击者会利用社会工程学或暴力破解学进行该E-MAIL密码破解，有能力的攻击者将直接对该E-MAIL进行入侵行为，以获取所需信息。三、修改注册信息当攻击者破获了E-MAIL后，会利用相关的MAKE CHANGES功能修改该域名的注册信息，包括拥有者信息，DNS服务器信息等。四、使用E-MAIL收发确认函此时的攻击者会在信件帐号的真正拥有者之前，截获网络公司回馈的网络确认注册信息更改件，并进行回件确认，随后网络公司将再次回馈成功修改信件，此时攻击者成功劫持域名。

网络安全知识答题

1、ARP欺骗攻击发生在什么网络范围内( 单选题) B 因特网局域网广域网以上全部请问下面哪一项属于端口扫描工具( 单选题)B Dnsmap Nmap Nessus lpconfig 一机两用在本地客户端开了什么端口( 单选题) C 444 235 22105 1324 如何防范ICMP FLOOD攻击( 不定项选择题) 使用防火墙禁止ping请求关闭不用的tcp端口过滤ICMP报文下面哪一种攻击方式最常用于破解口令( 单选题) A 字典攻击 WinNuk 哄骗拒绝服务

从此处下载的rar加密文件文件内容是什么( 填空题) 4444 请点击下载文件 word 加密文件内容是2222 共享式网络通过什么网络设备连接( 单选题) C 防火墙交换机集线器 Ip欺骗是指数据包中哪个字段被篡改( 单选题) B 目的mac地址源ip地址目的ip地址源mac地址交换式网络通过什么网络设备连接( 单选题) D 防火墙路由器集线器交换机 Ip地址为10.2.64.111的主机操作系统是什么( 单选题) A windows linux dns欺骗攻击什么设备将没有效果( 不定项选择题) dns服务器防火墙路由器交换机

NMAP是什么( 单选题) C 攻击工具防范工具扫描工具网络协议 Ip地址为10.2.64.111的主机是否存活( 单选题) B 不存活存活以下哪种加密算法不与其他三种相同( 单选题) A RSA IDEA 3DES RC5 Ip地址为10.2.64.112的主机开了什么服务( 单选题) C web ftp 以上两个都开了以上两个都没开 RSA与DSA相比的优点是什么( 不定项选择题) A 它可以提供数字签名和加密功能它使用一次性密码本前者是分组加密后者是流加密由于使用对称密钥它使用的资源少加密速度快 UDP Flood攻击发送udp包来攻击服务器，请问哪种服务器会响应udp请求，被UDP Flood 攻击成功( 不定项选择题)

15春信息安全真题

信息安全模拟卷（一）一、判断题：正确打勾，错误打叉。 01、按计算机病毒的链接方式划分可分为：源代码病毒、嵌入式病毒、外壳型病毒、操作系统病毒等。 02、数据备份是每月把数据拷贝在本地其它介质。 03、RAID的含义为廉价冗余磁盘阵列。 04、加密明文是指待加密的文本信息，图形、视频、音频等信息采用与文本信息不同的加密方式。 05、单表、多表等传统密码都可以通过语言规律进行统计分析以破解密码。 06、对称密码体制中，加密解密采用相同的密码。 07、信息系统的安全包括机房安全。 08、物理安全是针对计算机网络系统的硬件设施来说的。 09、VPN的关键技术主要有隧道技术、加密技术、密钥管理、身份认证等。 10、信息隐藏就是信息加密，采用与信息加密相同的算法。二、选择题：选择最好的答案。 1、以下有关防火墙的叙述，(____)是错误的。 A：防火墙事实上只是一种安全软件。 B：最常见部署于面向社会的公共网络，与企事业单位的专用网络之间。 C：防火墙是设置于网络之间，通过控制网络流量、阻隔危险网络通信以彀保护网络安全的目的。 D：防火墙依据不同的机制与工作原理，分为：包过滤、状态检测包过滤、应用服务代理三类防火墙。 2、假设使用一种加密算法，它的加密方法很简单：将每一个字母加5，即a加密成f。这种算法的密钥就是5，那么它属于(____)。 A：对称加密技术 B：分组密码技术 C：单向函数密码技术 D：公钥加密技术 3、"公开密钥密码体制"的含义是(____)。 A：将公开密钥公开，私有密钥保密 B：两个密钥相同 C：将私有密钥公开，公开密钥保密 D：将所有密钥公开 4、从安全属性对各种网络攻击进行分类，阻断攻击是针对(____)的攻击。 A：真实性 B：机密性 C：可用性 D：完整性

网站域名被劫持的原因分析,以及应对方法

网站域名被劫持的原因分析，以及应对方法我们都知道在互联网上安全问题是一直存在的，比较常见的有DDOS攻击、域名劫持、木马控制主机、网页篡改、网络仿冒等，这这些当中域名劫持对于网站造成的影响和危害算是最大的。搜索引擎是我们日常进行网络信息检索的一个重要的工具，大家只需要输入关键词就可以检索到需要的信息了，这些信息其实都是搜索引擎对于网站的一个快照，而快照本身其实就存在安全问题，因此我们会发现有些网站的快照上面网站标题和描述其实和网站本身是不一样的。本文我就和大家分析总结一下域名劫持的一些原因还有应对方法。 1、域名劫持目前提供搜索引擎服务的产品很多，常用的如百度、谷歌、搜狗、有道等，他们应用的技术差别较大，核心技术一般都作为公司的技术机密，我们是不得而知，但都存在一个数据快照，存储在搜索引擎服务器上，当用户输人关键字时，搜索引擎通过搜索功能在快照服务器上检索，并将结果按收录的时间或其他索引进行排序列出，为用户提供信息。但在使用过程中，网站如果被植入木马程序，表现为通过搜索引擎搜索到某一网站，搜索结果中的网站名称、域名均与实际相符，打开这个网站时，前1?2秒时间，是打开网站域名时的解析，没有异常，但再过1秒钟左右，打开出现的网站却是其他网站或者非法网站，而域名解析的ip地址没有任何异常是完全正确的。出现类似的问题，我们常称为“域名劫持”，出现这种情况原因是多种的，，随着互联网应用日益深人社会生活，网络环境也愈加复杂多变。这种现象警示着网站管理员必须高度重视网络安全，并不断提高应对新的安全威胁的能力。 2、注入代码注入代码与植人木马文件，是黑客通常采用的手法，注入代码时，当被注入的文件被任何浏览者访问时，这段注入的代码就开始工作，利用系统的FSO功能，形成一个木马文件，黑客再用这个木马文件来控制服务器，并不只是控制Web 所在的文件夹，当然，还有些黑客不需要控制服务器，只是在Web文件里注入一些黑链接，打开网站时不会出现任何多余的内容，只是打开速度比正常的要慢很多倍，因为要等这些黑链接都生效之后整个网站才完全打开，如果是黑链接只需要清除了就可以了，但是文件被植人了木马或字符，便很难查找得到。 3、主要特征经过反复查找原因，发现了域名劫持的主要特征。经过对黑客植入字符分析，其使用了“window.location.href’js语句，还会造成网站管理无法正登录，管理人员在管理登录窗口输入用户名、密码后，一般通过认证时便会将用户的一些信息通过session传递给其他文件使用，但“window,location.href’语句使认证环节都无法实现，用户的表单无法正常提交给验证文件，如果系统使用了验证码，

信息窃取途径

一、信息窃取的途径： 1.键盘记录 Keylogger是一个简单的软件，可将键盘的按键顺序和笔划记录到机器的日志文件中。这些日志文件甚至可能包含您的个人电子邮件ID和密码。也称为键盘捕获，它可以是软件或硬件。虽然基于软件的键盘记录器针对安装在计算机上的程序，但硬件设备面向键盘，电磁辐射，智能手机传感器等。Keylogger是网上银行网站为您提供使用虚拟键盘选项的主要原因之一。因此，无论何时在公共环境中操作计算机，都要格外小心。 2.拒绝服务（DoS \ DDoS）拒绝服务攻击是一种黑客攻击技术，通过充斥大量流量使服务器无法实时处理所有请求并最终崩溃的站点或服务器来关闭站点或服务器。这种流行的技术，攻击者使用大量请求来淹没目标计算机以淹没资源，这反过来限制了实际请求的实现。对于DDoS攻击，黑客经常部署僵尸网络或僵尸计算机，这些计算机只能通过请求数据包充斥您的系统。随着时间的推移，随着恶意软件和黑客类型不断发展，DDoS攻击的规模不断增加。 3.水坑袭击如果您是发现或国家地理频道的忠实粉丝，您可以轻松地与水潭攻击联系起来。为了毒害一个地方，在这种情况下，黑客会击中受害者最容易接近的物理点。例如，如果河流的来源中毒，它将在夏季袭击整个动物群。以同样的方式，黑客瞄准访问最多的物理位置来攻击受害者。那一点可以是咖啡馆，自助餐厅等。一旦黑客知道您的时间，使用这种类型的黑客攻击，他们可能会创建一个虚假的Wi-Fi接入点，并修改您访问量最大的网站，将其重定向到您，以获取您的个人信息。由于此攻击从特定位置收集用户信息，因此检测攻击者更加困难。这种类型的黑客攻击再次保护自己的最佳方法之一是遵循基本的安全实践并保持软件/操作系统的更新。 4.假WAP 即使只是为了好玩，黑客也可以使用软件伪造无线接入点。这个WAP连接到官方公共场所WAP。一旦你连接了假的WAP，黑客就可以访问你的数据，就像上面的例子一样。这是最容易实现的攻击之一，只需要一个简单的软件和无线网络。任何人都可以将他们的WAP命名为“Heathrow Airport WiFi”或“Starbucks WiFi”这样的合法名称，然后开始监视你。保护自己免受此类攻击的最佳方法之一是使用高质量的VPN服务。 5.窃听（被动攻击）与使用被动攻击的自然活动的其他攻击不同，黑客只是监视计算机系统和网络以获取一些不需要的信息。窃听背后的动机不是要损害系统，而是要在不被识别的情况下获取一些信息。这些类型的黑客可以针对电子邮件，即时消息服务，电话，Web浏览和其他通信方法。那些沉迷于此类活动的人通常是黑帽黑客，政府机构等。 6.网络钓鱼

基于DNS的网络攻击行为监测

DNS是网络环境相对薄弱的一环，非常容易受到攻击和入侵。目前网络环境中发生较多的DNS攻击大概有，DNS缓存感染，DNS信息劫持，DNS重定向，ARP欺骗，本机劫持等多种方式。基于DNS的网络行为监控则是通过对DNS攻击报文的分析再辅之spark来达到实时监控和防范的目的，实现一个系统的网络安全态势感知平台的功能。其中，本文只对DNS攻击的特征进行分析。 DNS信息劫持的分析监测 DNS信息劫持，又叫DNS欺骗，发生DNS欺骗时，Client最少会接收到两个以上的应答数据报文，报文中都含有相同的ID序列号，一个是合法的，另一个是伪装的。据此特点，有以下两种检测办法：(1)被动监听检测。即监听、检测所有DNS的请求和应答报文。通常DNS Server对一个请求查询仅仅发送一个应答数据报文(即使一个域名和多个IP有映射关系，此时多个关系在一个报文中回答)。因此在限定的时间段内一个请求如果会收到两个或以上的响应数据报文，则被怀疑遭受了DNS欺骗。(2)主动试探检测。即主动发送验证包去检查是否有DNS欺骗存在。通常发送验证数据包接收不到应答，然而黑客为了在合法应答包抵达客户机之前就将欺骗信息发送给客户，所以不会对DNS Server的IP合法性校验，继续实施欺骗。若收到应答包，则说明受到了欺骗攻击。 DNS反射放大攻击监测 DNS反射放大攻击是一种通过向开放的DNS服务发送伪造源发地址的查询请求来将应答流量导向攻击目标的一种拒绝服务攻击手段。此类攻击主要利用回复包比请求包大的特点，伪造请求包的源IP地址，将应答包引向被攻击的目标。DNS反射放大攻击特征如下： DNS回复超过512字节攻击者为了达到攻击目的，响应包大小往往超过限制的512字节，放大倍数一般超过10倍以上。短时间内某一SIP请求数量骤增攻击者利用”肉鸡“发起请求攻击，使用循环发送请求方式对攻击者进行访问，因为请求资源记录中的>SIP都被伪造为被攻击者的IP，所以DNS服务器在短暂时间段内会接收到同一个SIP的多个请求记录。查询类型以ANY为主(query) 每个查询类型一般都对应固定的响应比例长度，比如A类型响应资源长度一般是固定的32位字节IP地址，MX和ANY类型的响应记录一般是不固定的长度，也最容易被攻击者利用。OPT RR字段中的UDP报文大小设置为很大的值(query) 攻击者会将OPT RR字段重点额UDP报文大小设置为很大的值，Additional records中的UDP payload

信息安全术语解释

信息安全术语解释 ●信息系统。信息系统是指由计算机硬件、软件、网络与通信设备等组成的以处理信息和数据为目的的系统。 ●漏洞。漏洞是指信息系统中的软件、硬件或通信协议中存在缺陷或不适当的配置，从而可使攻击者在未授权的情况下访问或破坏系统，导致信息系统面临安全风险。 ●恶意代码。恶意代码是指未经授权的情况下，在信息系统中安装，执行以达到不正当目的程序。恶意代码分类说明如下： 1．特洛伊木马（Trojan Horse）。简称木马，是以盗取用户个人信息，甚至是远程控制用户计算机为主要目的的恶意代码。由于它像间谍一样潜入用户的电脑，与战争中的“木马”战术十分相似，因而得名木马。按照功能，木马程序可进一步分为：盗号木马、网银木马、窃密木马、远程控制木马、流量劫持木马、下载者木马和其它木马六类。 2．僵尸程序（Bot）。是用于构建僵尸网络以形成大规模攻击平台的恶意代码。僵尸网络是被黑客集中控制的计算机群，其核心特点是黑客能够通过一对多的命令与控制信道操纵感染僵尸程序的主机执行相同的恶意行为，如可同时对某目标网站进行分布式拒绝服务攻击，或发送大量的垃圾邮件等。按照使用的通信协议，僵尸程序可进一步分为：IRC

僵尸程序、Http僵尸程序、P2P僵尸程序和其它僵尸程序四类。 3．蠕虫（Worm）。是指能自我复制和广泛传播，以占用系统和网络资源为主要目的的恶意代码。按照传播途径，蠕虫可进一步分为：邮件蠕虫、即时消息蠕虫、U盘蠕虫、漏洞利用蠕虫和其它蠕虫五类。 4．病毒（Virus）。是指通过感染计算机文件进行传播，以破坏或篡改用户数据，影响信息系统正常运行为主要目的恶意代码。 5．其它。上述分类未包含的其它恶意代码。随着黑客地下产业链的发展，互联网上出现的一些恶意代码还具有上述分类中的多重功能属性和技术特点，并不断发展。对此，我们将按照恶意代码的主要用途参照上述定义进行归类。 ●拒绝服务攻击。是指向某一目标信息系统发送密集的攻击包，或执行特定攻击操作，以期致目标系统停止提供服务。 ●网页篡改。是指恶意破坏或更改网页内容，使网站无法正常工作或出现黑客插入的非正常网页内容。 ●网页仿冒。是指通过构造与某一目标网站高度相似的页面（俗称钓鱼网站），并通常以垃圾邮件、即时聊天、手

dns劫持测试过程

DNS劫持测试一、测试环境及软件（1）受害者ip：192.168.3.116 入侵者ip：192.168.3.201 网关ip：192.168.3.1 （2）需要的软件一台Kali-liunx攻击机和受害者机器（系统随意）二测试目的：检测dns污染、劫持三、测试配置及流程（1）修改ettercap DNS文件。（修改为攻击机的地址）文件目录：/etc/ettercap/etter.dns 保存一下。在终端输入/etc/init.d/apache2 start 来启动apache2 也就是网页服务器 apache2的根目录是/var/www 修改一下hello.html 改成黑页root@kali-test:/var/www/html# vim index.html

选择Hosts>scan for hosts就是扫描主机

我们选择Hosts>Hostlist 鼠标点击192.168.3.1 再点Add to Target 1 再选择192.168.3.12Add to Target 2

OK我们已经都配置好了，点击mitm>arp poisoning 第一个打√ 确定我们点plugins>mangge the plugins 双击dns_spoof

解决电信劫持DNS

中国电信的DNS劫持解决办法时间:2011-08-13 10:06来源:未知作者:admin 点击:166次电信的DNS劫持一般是指电信在对其所属的DNS服务器做了某些明显违背互联网规范的行为,导致出现将客户浏览器导向其自身所辖的114号码百事通,此种行为非常令人不齿.使用电信宽带接入的朋友可能最近也经常像我一样在浏览网站时莫名其妙地输入网址后转向了114查询电信的DNS劫持一般是指电信在对其所属的DNS服务器做了某些明显违背互联网规范的行为,导致出现将客户浏览器导向其自身所辖的114号码百事通,此种行为非常令人不齿.使用电信宽带接入的朋友可能最近也经常像我一样在浏览网站时莫名其妙地输入网址后转向了114查询的页面。解决DNS劫持的方法：对于宽带拨号用户来说，在“设置”-“网络连接”中找到宽带上网的连接，打开网络连接属性，选择Interner协议（TCP/IP）的属性页里，不要选择自动获取DNS，而要选择“使用下面的DNS服务器地址”，首选DNS服务器和备用DNS服务器分别设置为8.8.8.8和8.8.4.4，如下图所示，完成后重新连接上网，就可以摆脱服务商对我们的DNS劫持。 Google DNS服务器 Google今天又给了我们一个惊喜，并沉重的打击了OpenDNS。他们刚刚宣布向所有的互联网用户提供一组快速，安全并且完全免费的DNS解析服务器. 该服务给用户带来的好处是，理论上更快速、更稳定的浏览体验，以及针对恶意网站的更多安全防护；而Google可以通过该服务获得大量的用户数据，以及某些可能的收入。目前Google Public DNS服务尚处于试验阶段，用户如果想使用它，必须修改网络设置，这样他们的网站访问请求才会被转向Google服务而不是ISP商。 Google公司提供的公共DNS服务有些许不同，当你输入一个错误的或者不存在的网址的时候，不会像一般的ISP返回一个错误页面，或是像中国电信一般直接弹出一个满屏都是广告的页面，Google公司承诺绝不会重定或者过滤用户所访问的地址，而且绝无广告。我想这组IP看过后没有人会忘记吧？各位读者们，赶紧去换DNS服务器吧！谷歌公用DNS IP地址: 8.8.8.8 8.8.4.4

EMINEM中文网域名被劫持嚣张黑客现身官网吵架

EMINEM中文网域名被劫持嚣张黑客现身官网吵架 )8月29日讯，据悉，近日EMINEM中文网官博发布消息称，“其网站域名https://www.360docs.net/doc/896017098.html,被劫持，服务器中大批数据和程序被破坏，服务器提供商正在艰难的修复中。”而劫持者还在EMINEM中文网上留下“hacked by Dirty.wu”以及QQ号码，引发用户围观热议。目前，该域名已无法访问。图：微博信息据了解，成立于2009年11月的EMINEM中文网，是一个集Hip-Hop音乐、Hip-Hop专业知识、娱乐等为一体的大型Hip-Hop文化综合网站。对于此次网站遭黑客劫持和攻击，EMINEM中文网官博表示，是否能够全面恢复目前还无法确定，但非常感谢eminem吧的朋友积极提供关于此黑客的信息，同时也希望认识Dirty.wu的朋友转告他，切勿再去摧毁各位STAN多年来的付出。

微博评论关于此次EMINEM中文网被劫持事件，一个自称是Dirty.wu的网友在该官博评论下表示，我不是怕你，只是不忍心这么多stan被你欺骗。随后另一个名为洛可杰的网站内部人员表示，你伪装身份欺骗我，黑了我们网站，现在还反说我欺骗STAN?随后其表示，我只劫持了域名，我2次要求解析回原来的ip，恢复网站，你却给客服说不解析?面对嚣张跋扈的黑客，一时间双方在官方微博上闹的是不可开交。目前，EMINEM中文网暂未对该官网何时修复好进行说明。而该网站服务器中大批被攻击的数据和程序还有待恢复，应该还需较长的修复期。截止小编截稿之前，EMINEM中文网域名https://www.360docs.net/doc/896017098.html,依旧无法进行访问。文章来源于：https://www.360docs.net/doc/896017098.html,/article-16341-1.html

从具体案例看《反不正当竞争法》第二条在互联网不正当竞争案件中的适用

从具体案例看《反不正当竞争法》第二条在互联网不正当竞争案件中的适用 5月23日晚8点，集佳周丹丹律师应邀作为“知识产权生态群”的主讲嘉宾，为4个群总计近2000人的知识产权界律师及其他法律工作者，主讲“从具体案例看《反不正当竞争法》第二条在互联网不正当竞争案件中的适用”。以下周丹丹律师独家提供的讲稿：近2年，互联网不正当竞争类案件大量涌现，由于互联网经济参与主体多样，且技术背景复杂，商业模式和竞争样态日趋多变，《反不正当竞争法》的具体条款根本无法涵盖。很多案件，法院都是适用《反不正当竞争法》第二条的原则性条款进行定性判断和调整。但因为是否违反诚实信用原则、是否违反公认的商业道德的规定比较抽象且具有不确定性，学界、司法界、律师界有很多问题一直都备受争议。从北京高院、最高院的个别判决、裁定可以看到，法院已开始在司法实践中总结更具体、更便于操作的指导性原则，如“非公益必要不干扰原则”、“最小特权原则”、“地盘说”等等。这些具体原则在个别案件中确实起到了一定的指导作用，但也必须看到，其具体适用还具有很大的局限性，尤其对于互联网经济争夺眼球和商业机会的某些案件，就难以适从了。以下我就简要回顾近几年网络不正当竞争案件的典型案例

群，并结合我自己代理案件的实际经验，尝试总结《反不正当竞争法》第二条在互联网不正当竞争案件中适用，进行行为“正当性”与否判定时，比较具体的和具有可操作性的考量角度。一、网络不正当竞争案件的类型化案例群概况虽然网络不正当竞争案件纷繁复杂，但目前也出现了部分类型化的案例群，主要有：1、干扰软件运行进程或运行结果如腾讯与360“扣扣保镖”不正当竞争案，在这个案件中，360公司向用户提供“扣扣保镖”软件，宣称可保QQ安全。当用于运行其体现功能，得分很低，且其提示QQ存在重大健康问题，用户运行“一键修复”，结果会直接禁用QQ的11个功能插件、屏蔽聊天窗口广告、新闻公告，更为甚者，会将原QQ自有的安全沟通界面直接替换成扣扣保镖界面。严重干扰了QQ软件的运行进程，广东省高院一审及最高院二审均认为其行为构成不正当竞争。再如百度与360“插标”案，这个案件可能大家也都广泛知道，北京高院在这个案件的判决中提出了“非公益必要不干扰原则”，北京高院判决认为，360公司通过360安全卫士软件，在百度搜索结果中插入红底白色感叹号图标，点击图标，出现“存在欺诈广告的网站”的提示，其插标行为改变了百度搜索结果页面的显示结果，干扰了百度搜索服务的正常运行，构成不正当竞争。2、浏览器广告屏蔽猎豹浏览器屏蔽优酷网广告案，在业界也比较有影响力。在该案中，猎豹浏

squid透明代理 DNS劫持示例

squid透明代理DNS劫持示例 squid透明代理+DNS劫持示例 DNS上的设置: 假设主DNS是1.1.1.1,辅DNS是2.2.2.2; DNS上做: 1.因为可能添加很多域名,所以做好在named.conf里添加这行: include "hijack.list" 2.hijack.list里包含类似如下的内容: 主DNS上为: zone "https://www.360docs.net/doc/896017098.html," { type master; #在从DNS上相应地是slave file "https://www.360docs.net/doc/896017098.html,mon"; #每个添加的域名都包含相同的文件

allow-transfer { 2.2.2.2; }; #从DNS的IP }; 辅DNS上相应地是: zone "https://www.360docs.net/doc/896017098.html," { type slave; file "https://www.360docs.net/doc/896017098.html,mon"; masters { 1.1.1.1; }; }; https://www.360docs.net/doc/896017098.html,mon的内容如下: $TTL 180 @ IN SOA https://www.360docs.net/doc/896017098.html,. https://www.360docs.net/doc/896017098.html,. ( 2009090403 ; serial 3600 ; refresh 900 ; retry 360000 ; expire 3600 ) ; minimum @ IN NS https://www.360docs.net/doc/896017098.html,. @ IN NS https://www.360docs.net/doc/896017098.html,. @ IN A 150.164.100.65

* IN A 150.164.100.65 @ IN A 150.164.100.66 * IN A 150.164.100.66 @ IN A 150.164.100.67 * IN A 150.164.100.67 有很多机器时可依次添加. SQUID里的主要设置: 给squid用的DNS不能是上面配置的DNS,否则会出现回环. 需要给squid别的能正常解析的DNS,或者在此DNS上面配置不同的view,此view只配置hint记录就行; http_access allow all http_port 80 transparent # 表示透明代理 cache_dir null /tmp #logformat squid %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A % mt access_log syslog:https://www.360docs.net/doc/896017098.html, squid

如何修复被劫持、篡改的IE主页

如何修复被劫持、篡改的IE主页如果你不想看完全文、又急于解决问题，推荐使用金山急救箱（金山网盾）或其它工具修复鉴于一些人，可能不愿意看完全文，写个内容提要在前面，给一些懒人看，另外，你们到底哪看不懂，能说说不？我尽量改得通俗一点，或作一些解释，别放弃，如果用什么软件一键搞定，这问题就不会如此泛滥了，但总有希望，搞清楚规律就能解决：篡改、劫持IE主页的方法与解决： 1、2、修改注册表，强制访问，可通过在注册表中搜索网址的的方法修复 3、在浏览器快捷方式的属性中添加网址，删除添加部分 4、病毒、木马，通过各种启动项、插件加载，防比杀容易 5、右键菜单加载，也在注册表中 6、软件捆绑，卸载软件再修复 7、修改HOSTS，不常见总结，推荐注册表搜索法与工具修复法（如360），可选的是HOSTS屏蔽法。下面说的是一些篡改劫持IE主页的实现途径与对应的解决方法，如果你遇到的不在其中，欢迎补充与指正。 1、最简单的直接修改，通过注册表（HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main中的“start page”）修改IE的主页设置，也就是IE的internet选项中的主页（IE菜单中的“工具”－internet选项－常规－主页）。为了不让用户修复，往往会采取措施禁止主页修改，也就是主页那里是灰色的，无法改变主页的值，一般通过组策略达到此目的（其实也就是注册表中设置），因为这招已经用老了，所以修复的方法网上都能查得到，各种IE修复工具也能做到，以至于现在采用这种方法的人也少了，真没什么好多说的。补充：还有一种对注册表的锁定，是通过对注册表项的权限进行修改实现的，取消用户包括管理员及系统对某个注册表项的“完全控制权”达到无法修改或删除该项的目的，所以修复

简单设置DNS 防止被电信服务商DNS劫持

简单设置DNS 防止被电信服务商DNS劫持 DNS（Domain Name System）是域名解析服务器的意思，它在互联网的作用是把域名转换成为网络可以识别的IP地址。当用户在浏览器中输入网址域名时，首先就会访问系统设置的DNS域名解析服务器（通常由ISP运营商如电信、联通提供）。如果该服务器内保存着该域名对应的IP 信息，则直接返回该信息供用户访问网站。否则，就会向上级DNS逐层查找该域名的对应数据。目前国内上网用户普遍使用的是默认DNS服务器，即电信运营商的DNS服务，这带来一个巨大的风险，就是DNS劫持。目前国内电信运营商普遍采用DNS劫持的方法，干扰用户正常上网，例如，当用户访问一个不存在（或者被封）的网站，电信运营商就会把用户劫持到一个满屏都是广告的页面：电信114互联星空网站，这个114网站不仅搜索质量低劣，而且广告众多，极大的影响了用户上网的安全性和浏览体验。后来，电信运营商的胆子越来越大，甚至连Google的网站电信都敢劫持，这进一步证明了电信运营商的DNS服务可靠性是多么糟糕。因此，我以前曾经强烈建议网友使用国外DNS解析服务器，例如OpenDNS的免费DNS服务，他们的DNS为208.67.222.222和208.67.220.220，以免被中国电信劫持。但OpenDNS有两个缺点，一是OpenDNS的服务器在美国，使用的人多了有可能会速度变慢，没有国内的DNS速度快，二是OpenDNS 的IP地址不太好记，容易忘。现在，中国网民的福音终于到了，Google面对大众推出了免费的公共DNS系统，Google表示推出免费DNS的主要目的就是为了改进网络浏览速度，为此Google对DNS服务器技术进行了改进，通过采用预获取技术提升性能，同时保证DNS服务的安全性和准确性。普通用户要使用Google DNS非常简单，因为Google为他们的DNS服务器选择了两个非常简单易记的IP地址：“8.8.8.8”和“8.8.4.4”。用户只要在系统的网络设置中选择这两个地址为DNS服务器即可。使用方法非常简单，对于宽带拨号用户来说，在“设置”-“网络连接”中找到宽带上网的连接，打开网络连接属性，选择Interner协议（TCP/IP）的属性页里，不要选择自动获取DNS，而要选择“使用下面的DNS服务器地址”，首选DNS 服务器和备用DNS服务器分别设置为 8.8.8.8和8.8.4.4，如下图所示，完成后重新连接上网即可。

DNS安全

DNS安全 DNS欺骗种类 1．DNS欺骗（DNS Spoffing）（1）缓存感染黑客会熟练的使用DNS请求，将数据放入一个没有设防的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给客户，从而将客户引导到入侵者所设置的运行木马的W eb服务器或邮件服务器上，然后黑客从这些服务器上获取用户信息。（2）DNS信息劫持入侵者通过监听客户端和DNS服务器的对话，通过猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。黑客在DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。（3）DNS复位定向攻击者能够将DNS名称查询复位向到恶意DNS服务器。这样攻击者可以获得DNS服务器的写权限。 2．拒绝服务（Denial of service，DoS）黑客主要利用一些DNS软件的漏洞，如在BIND 9版本（版本9.2.0以前的 9系列）如果有人向运行BIND的设备发送特定的DNS数据包请求，BIND就会自动关闭。攻击者只能使BIND关闭，而无法在服务器上执行任意命令。如果得不到DNS服务，那么就会产生一场灾难：由于网址不能解析为IP地址，用户将无方访问互联网。这样，DNS产生的问题就好像是互联网本身所产生的问题，这将导致大量的混乱。 3．分布式拒绝服务攻击和缓冲区漏洞溢出攻击（Buffer Overflow） DDOS 攻击通过使用攻击者控制的几十台或几百台计算机攻击一台主机，使得服务拒绝攻击更难以防范：使服务拒绝攻击更难以通过阻塞单一攻击源主机的数据流，来防范服务拒绝攻击。Syn Flood是针对DNS服务器最常见的分布式拒绝服务攻击。 Bind软件的缺省设置是允许主机间进行区域传输（zone transfer）。区域传输主要用于主域名服务器与辅域名服务器之间的数据同步，使辅域名服务器可以从主域名服务器获得新的数据信息。一旦起用区域传输而不做任何限制，很可能会造成信息泄漏，黑客将可以获得整个授权区域内的所有主机的信息，判断主机功能及安全性，从中发现目标进行攻击。

百度诉360劫持流量案终审胜诉 360判赔40万

百度诉360劫持流量案终审胜诉 360判赔40万本报讯（记者王鑫）昨日记者获悉，百度诉360劫持流量案终审宣判，法院判决书表明，奇虎360以保护网民利益为借口，对百度网页搜索结果进行插标，并非是为了公共利益，而是为了奇虎公司的经营私利，扰乱了互联网秩序。对此，法院维持一审原判，360不正当竞争行为成立，赔偿百度40万元。据了解，该案的起源还要追溯到2012年初，当时百度指出，360未经百度允许恶意标注百度搜索结果、篡改百度搜索结果页面，并向用户宣传及误导用户安装其浏览器，为360浏览器导流。同时，百度还认为360利用浏览器捆绑其网址导航站，故意仿冒、混淆百度搜索结果，劫持百度流量。为此，百度将360诉上法庭。今年4月，北京市第一中级人民法院一审判决360不正当竞争行为成立，赔偿百度经济损失及相关支出费用共计45万元，并在其网站首页连续15天刊载道歉声明。针对一审判决结果，360提出上诉，并辩称“一审法院在不了解安全软件工作原理的情况下作出错误认定”，在网站上标注“安全标识”是安全软件的使命，是出于“用户的需求”。今年9月4日，该案二审开庭。日前，二审最终宣判，在判决书中指出，奇虎公司的行为不仅干扰了网络用户对百度搜索的正常使用，还减少了使用百度搜索框的网络用户对百度搜索结果网页的访问，构成了不正当竞争。因此，法院方面认定“奇虎公司干扰他人互联网产品或服务的正常运行，并非出于保护公共利益的目的，也不产生保护公共利益的效果，维持一审原判，赔偿百度40万元，不得上诉。” “3B”大战引发官司从上周开始连续宣判，百度诉360劫持流量案已经是最近第三场宣判的官司，而三场官司均以360败诉告终。12月19日，北京市海淀区人民法院对百度公司起诉奇虎360公司董事长周鸿祎、奇虎公司联合侵犯名誉权案及诉奇虎360公司CTO谭晓生侵犯名誉权两案做出判决，判处周鸿祎、谭晓生及奇虎360公司败诉，要求周鸿祎、奇虎360公司删除侵权微博、道歉10天、并处罚金5万元；要求谭晓生删除侵权微博、道歉10天、处罚金3万元。